La aplicación creada por IA de tu compañero de trabajo podría estar filtrando secretos de la empresa.

      Las herramientas de codificación de IA han hecho que sea ridículamente fácil construir una aplicación web, y ahora solo se necesita unos minutos para configurarla. Esta facilidad ha reducido la barrera para el desarrollo de aplicaciones, lo que está causando un nuevo conjunto de problemas. Entonces, ¿qué sucede cuando estas aplicaciones creadas por IA se ponen en marcha sin que nadie revise los candados? Obtienes secretos derramándose por toda la internet.

      Un informe de WIRED destaca un importante problema de seguridad en torno a las llamadas aplicaciones "vibe-coded", que se construyen utilizando plataformas de desarrollo de IA como Lovable, Replit, Base44 y Netlify.

      Por qué esto es un problema más grande de lo que piensas

      El investigador de seguridad Dor Zvi y su equipo en RedAccess analizaron miles de estas aplicaciones y encontraron más de 5,000 que tenían poca o ninguna seguridad o autenticación. La mayoría de estas aplicaciones podrían ser prácticamente accesibles por cualquier persona que encontrara la URL "correcta". Algunas de ellas tenían solo barreras mínimas, permitiendo a los visitantes iniciar sesión con cualquier dirección de correo electrónico. Casi la mitad de estas aplicaciones expuestas parecían contener datos sensibles como información médica, registros financieros, presentaciones corporativas, documentos de estrategia y registros de chatbots de clientes, dijo Zvi.

      Lee Campbell / Unsplash

      La investigación también reveló supuestamente asignaciones de trabajo hospitalarias con información de identificación personal, datos de compra de anuncios, estrategias de presentación de mercado, información de ventas e incluso conversaciones de clientes con sus nombres y detalles de contacto. Varias de estas aplicaciones aún estaban en línea, aunque WIRED no pudo verificar si todos los datos que revisó eran reales o sensibles.

      Cómo la codificación vibe se ha vuelto peligrosa en TI

      Esta historia no se limita a un lote de aplicaciones de IA descuidadas. Estas herramientas permiten a personas que pueden no tener experiencia en ingeniería de software o seguridad construir y publicar aplicaciones rápidamente, que a menudo están fuera de los procesos normales de aprobación de TI. Así que un miembro del equipo de marketing, un trabajador de operaciones o un fundador puede crear una herramienta para uso interno, conectarla a datos reales y dejarla accidentalmente abierta a la web.

      Zvi lo comparó con la antigua ola de cubos de Amazon S3 expuestos, donde las configuraciones incorrectas llevaron a las empresas a filtrar datos sensibles a gran escala. El investigador de seguridad Joel Margolis dijo a WIRED que las herramientas de codificación de IA solo hacen lo que se les pide. Así que si un usuario no solicita seguridad explícitamente, la aplicación puede no ser segura por defecto.

      wavebreakmedia/Shutterstock

      ¿Qué dijeron las empresas?

      El CEO de Replit, Amjad Masad, escribió en X que algunos usuarios habían publicado aplicaciones en la web abierta que deberían haber sido privadas, añadiendo que el acceso a aplicaciones públicas en línea es un comportamiento esperado. Mientras tanto, Lovable dijo que toma en serio los datos expuestos y los informes de phishing y está investigando. La empresa matriz de Base44, Wix, declaró que su plataforma proporciona controles de seguridad y visibilidad, argumentando que el acceso público refleja las elecciones de configuración del usuario en lugar de una vulnerabilidad de la plataforma.

      Esta es una llamada de atención para cualquiera que trate la codificación vibe como un camino rápido hacia el éxito de una startup. Las aplicaciones generadas por IA pueden moverse rápidamente, pero esa velocidad viene con verdaderos compromisos. Desde una supervisión débil hasta vulnerabilidades ocultas, las aplicaciones construidas por IA pueden convertirse en un problema serio una vez que un producto está en manos de los usuarios.